Securitate IT

Acest articol prezinta cinci greseli facute de companii dupa ce au fost victime ale incalcarii securitatii informatice.

Prima greseala este lipsa unui plan de riposta inainte ca incidentul sa se produca. Daca aveti pregatit un plan de riposta, el va va ajuta foarte mult. Un astfel de plan trebuie sa acopere toate etapele pe care le presupune procesul de raspuns la astfel de incidente, de la pregatirea infrastructurii si prima reactie, pana la insusirea capitolului "Un incident rezolvat cu succes".

Daca aveti un plan, dupa faza initiala de panica ("O, nu, suntem atacati!"), puteti trece foarte rapid la un set de actiuni planuite, care va dau sansa de a controla pagubele si de a limita pierderile. A avea un plan cu instructiuni ce trebuiesc urmate si o lista cu persoane pe care sa le contactezi  este extrem de important in perioada foarte solicitanta  din punct de vedere psihic de dupa un astfel de incident. Pentru a sari de etapa realizarii unui plan propriu, va puteti folosi de metodologia deja existenta, cum ar fi procesul de raspuns la incidente al Institutului SANS. Cu un plan si o metodologie, echipa dvs se va intari si va fi pregatita sa raspunda la urmatorul virus mai rapid si mai eficient. Ca rezultat, va veti descurca in a limita eventualele pagube aduse organizatiei dvs.

A doua greseala pe care o puteti face este aceea de a nu dispune sporirea monitorizarii si supravegherii dupa ce un atac informatic a fost descoperit. Acest lucru este egal cu a va pune singur piedica. Chiar daca unele companii nu isi permit ca masuri de securitate monitorizarea 24/7 , nu exista scuze pentru faptul de a nu spori supravegheriea dupa un atac.

Este recomandat ca dupa un astfel de incident sa monitorizati cat de mult posibil reteaua si sistemele afectate. Aceasta actiune are darul sa ajute investigatia oferind dovezi cruciale pentru identificarea si rezolvarea cauzelor incidentului.

Un alt   beneficiu este ca sporirea monitorizarii va permite investigatorilor sa confirme ca au urmat masurile de securitate stabilite in prealabil—masuri ce asigura securitatea datelor—si datele existente intr-o cercetare criminalista.

Unii experti au declarat ca orice incident legat de securitate trebuie tratat ca si cum s-ar sfarsi la tribunal. Cu alte cuvinte, pastrarea calitatii juridice trebuie asigurata pe toata durata investigatiilor.

Chiar daca situatia pare sa ramana la latitudinea managerului sau a departamentului de resurse umane (in cazul unui atac din interiorul organizatiei) sau chiar a departamentului de securitate, exista intotdeauna sansa de a se ajunge la tribunal. In diferite cazuri s-a ajuns la tribunal dupa ce au fost descoperite noi dovezi pe parcursul investigatiilor, si ceea ce parea o simpla problema de acces la Internet s-a transformat intr-un caz penal de pornografie cu minori.

Pe deasupra, nu va asteptati la o confruntare in instanta deoarece suspectul ar putea implora  pentru o sanctionare disciplinara. Un investigator ar trebui sa ia in considerare aceasta posibilitate intotdeauna.

Ca o completare, relizarea unei investigatii dupa standarde va ajuta mereu la obtinerea unor dovezi mai concrete, daca este sprijinita de o procedura meticuloasa si bine documentata.

O a patra greseala survine atunci cand compania are un anumit termen de restabilire a functionalitatii. Pe cand acest motiv este de inteles, exista posibilitatea esuarii in aflarea cauzelor producerii incidentului, ceea ce va conduce la repetarea cazului pe acelasi sistem sau pe altul.

           

De exemplu, in cazul unei incercari de hacking, daca Pc-ul sau sistemul care a fost compromis este reinitializat dupa sistemul original, dar nu este inlaturata vulnerabilitatea care a permis atacul, este foarte probabil ca autorii sa revina. Mai mult, aceeasi soarta o vor avea si celelalte sisteme neprotejate.Chiar daca reinitializarea sistemelor ar putea fi pe primul loc, nu scapati din vedere aflarea cauzei care a produs incidentul, si cum ar putea fi prevenita pe viitor.

Reactia la astfel de incidente nu trebuie privita ca pe o "lupta cu focul". In mod evident ajuta in caz de incendiu, dar ajuta de asemenea la prevenirea lui.

Ultima greseala pare banala, dar este foarte comuna. Crearea unui plan de riposta si urmarea lui va conduce la o securizare mai buna a companiei, dar la fel de importanta este revizuirea planului dupa fiecare incident, deoarece oamenii si mijloacele se schimba de-a lungul timpului.

O alta componanta imporatanta este cercetarea incidentului in timp ce acesta se produce, si nu doar dupa savarsirea lui. Asta asigura surprinderea si cercetarea respectivului proces, urmand apoi sa se traga concluzii. Rezultatele cercetarii vor trebui apoi transmise partilor implicate, incluzand proprietarii resursei IT si administratorii acesteia.

Ideal ar fi ca organizatia sa construiasca o baza de date care sa cuprinda informatiile referitoare la fiecare incident, astfel incat aceasta baza de date sa poata fi de folos in viitoare situatii similare.